URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 25533
[ Назад ]

Исходное сообщение
"нестандартный подсчёт трафика в iptables"
Отправлено nece , 25-Янв-03 00:28

Привет всем!
Подскажите пожалуйста как при помощи iptables считать только весь internet трафик и несчитать обращения к шлюзу и внутренний трафик. Тоесть есть gw с SNAT.
eth0 -internet;
eth1 -localnet
Apache
SSH
DNS
Squid - не как прокси, а как ограничитель на загрузку файлов
Надо чтоб для каждого IP в localke считался весь интернет трафик.
И не считался трафик локальным ip когда они обращаются к gw (ssh, ping, www на gw)
и исходящие с gw (nmap; ping на ip в localnet), броадкасты, мультикасты.

Содержание

RE: нестандартный подсчёт трафика в iptables,Sasha Bury, 01:21 , 25-Янв-03
- RE: нестандартный подсчёт трафика в iptables,nece, 02:15 , 25-Янв-03
  - RE: нестандартный подсчёт трафика в iptables,Sasha Bury, 12:22 , 25-Янв-03
    - RE: нестандартный подсчёт трафика в iptables,Camb, 14:22 , 25-Янв-03
      - RE: нестандартный подсчёт трафика в iptables,hi, 02:34 , 26-Янв-03
        
        RE: нестандартный подсчёт трафика в iptables,nece, 14:21 , 27-Янв-03

Сообщения в этом обсуждении

"RE: нестандартный подсчёт трафика в iptables"
Отправлено Sasha Bury , 25-Янв-03 01:21

>Привет всем!
>Подскажите пожалуйста как при помощи iptables считать только весь internet трафик и
>несчитать обращения к шлюзу и внутренний трафик. Тоесть есть gw с
>SNAT.
>eth0 -internet;
>eth1 -localnet
>Apache
>SSH
>DNS
>Squid - не как прокси, а как ограничитель на загрузку файлов
>
>Надо чтоб для каждого IP в localke считался весь интернет трафик.
>
>И не считался трафик локальным ip когда они обращаются к gw (ssh,
>ping, www на gw)
>и исходящие с gw (nmap; ping на ip в localnet), броадкасты, мультикасты.
>
Не очень понятна суть проблемы. Считай на цепочке FORWARD для внешней сети. Когда юзера обращаются к локальному серверу учет идет по INPUT, в правила первой цепочки они попасть не могут.

"RE: нестандартный подсчёт трафика в iptables"
Отправлено nece , 25-Янв-03 02:15

А если считать трафик только в цепочках input output forward внешнего интерфейса (eth0- internet) то будет ли считаться трафик исходящий и входящий от лок. пользователей в инет?

"RE: нестандартный подсчёт трафика в iptables"
Отправлено Sasha Bury , 25-Янв-03 12:22

>А если считать трафик только в цепочках input output forward внешнего интерфейса
>(eth0- internet) то будет ли считаться трафик исходящий и входящий от
>лок. пользователей в инет?

цепочка forward будет считать только трафик к глобальной сети. Цепочки input output в этом случае не участвуют, какой при этом интерфейс - долампочки. И на оборот, если трафик приходит на форвардинг эти цепочки нечего не считают.
Если тебе необходимо исключить внешний трафик ssh etc. В цепочке forward описываешь дополнительное правило типа -p tcp --dport/sport ssh -j ACCEPT
Этоа цепочка должна быть первой в таблице filter. Ну и, соответственно, подсчитаный ей трафик и будет иметь значение, которые тебе нет необходимости учитывать.

"RE: нестандартный подсчёт трафика в iptables"
Отправлено Camb , 25-Янв-03 14:22

Подскажи, пожалуйста, ресурс, который бы мне помог перейти с ipchains (который я неплохо освоил) на iptables!
Спасибо!

"RE: нестандартный подсчёт трафика в iptables"
Отправлено hi , 26-Янв-03 02:34

Есле я правильно понял то весь трафик от пользователей в инет
учитывается только в цепочке FORWARD как исходящий в инет. так и входящий из инета. Да?

"RE: нестандартный подсчёт трафика в iptables"
Отправлено nece , 27-Янв-03 14:21

Правильно?